0x01. SYSTÈME D’EXPLOITATION
On préfèrera un système d’exploitation sous GNU/Linux. Le plus minimal possible.
0x02. DURCISSEMENT
Le durcissement consistera à :
- rendre impossible tout exécution de programmes, sauf depuis : /bin, /usr/bin, /usr/sbin, /sbin et /opt - car la solution (script) sera installée dans /opt ;
- avoir un utilisateur n’ayant aucun droit (user= antivirus, group= antivirus) ;
- /tmp et /var/tmp doivent être monté en RAM
0x02. CHOIX DES ANTIVIRUS
Pour des raisons économiques, on utilisera des antivirus gratuits disponible sous GNU/Linux 64bits :
- Sophos
- ClamAV
- F-Prot
- Nod32
- Comodo (si station en 32bits)
Au fur et à mesure de l’installation de chacun, on désactivera la protection en temps réél, car plusieurs antivirus en même temps pourrait paralyser le système.
Le but est profiter des outils de scan et non d’une capacité en temps réelle.
0x03. MACHINE VIRTUELLE ?
Pour éviter la détection de la machine virtuelle par les malwares, le mieux est de dédier une machine physique, facile à remasteriser.
0x04. UTILISATION
Pour simplifier son utilisation, un script devra être écrit afin de scanner les supports externes.

0x06. RISQUES THÉORIQUES VS RISQUES RÉELS
Il existe une crainte fondée qu’un malware utilise ses techniques d’évasions et de propagation pour pourrir le réseau. Toutes fois, le malware doit pouvoir s’exécuter au moins une fois, et profiter des vulnérabilités pour mener ses actions à bien.
Dans un environnement où, il ne peut s’exécuter ce risque est moindre.
On pourrait également se dire qu’un malware pourrait provoquer une faille au sain même de l’antivirus, c’est un risque à prendre en compte : après le scan de chaque fichier il peut être intéressant de faire une intégrité du système, si celle-ci change, alors l’exécutable était une menace et est alors à supprimer.
Les solutions sans disques de stockage (disque dur, SSD) via PXE ou pire via CDROM sont plus pénibles à gérer qu’autre chose. En théorie une station qui a une unité de stockage a un risque d’héberger un malware ou un fichier sensible. Seulement en pratique, un malware ne s’exécute pas dès l’insertion de la clé, il ne peut pas non plus s’exécuter sur un système étranger sans intervention de l’utilisateur.
=> Écrit par : Nicolas, le 17 février 2020